SEGURIDAD DE LA INFORMACIÓN BOTNETS

Transcripción

1 BOTNETS 1. INTRODUCCIÓN Una botnet es un conjunto de hosts, conectados a internet, que interactúan con el fin de cumplir una tarea distribuida. Aunque un conjunto de computadores puede ser usado para aplicaciones útiles y constructivas, el término botnet típicamente se refiere a un sistema utilizado para fines ilícitos. Estos sistemas están compuestos por hosts comprometidos que son controladas sin el conocimiento ni consentimiento de sus propietarios. Los hosts comprometidos comúnmente son conocidos como drones o zombies, y el software malicioso que se ejecuta se conoce como bot. Este reporte es una lista de PC s, drones y host zombies que han sido detectados mediante el monitoreo de Controles y Comandos IRC, capturando conexiones IP a botnets HTTP. Muchas de las direcciones IP de este reporte tienen un tipo de infección que serán aprovechadas únicamente con fines de la botnet. 2. CICLO DE VIDA Las botnets pueden ser creadas y mantenidas en cinco fases, éstas son: a) Fase de Infección inicial: durante este periodo el atacante busca vulnerabilidades en algún host de una subred particular e infecta a la víctima a través de algún método determinado. b) Fase de inyección secundaria: en el host infectado se ejecuta un script llamado Shell-code. Éste script incluye una imagen del bot ejecutable (o binario), y se instala a sí mismo. Esto puede hacerlo vía FTP, HTTP o P2P. c) Fase de conexión: luego de establecer un canal C&C(Command&Control), el programa se conecta al servidor C&C. Una vez establecida esta fase, el host infectado pasa a ser parte de la red zombie. d) Fase C&C (Command&Control): en esta fase el botnetmaster utiliza el canal C&C ya establecido para controlar a su red zombie, así los bots reciben y ejecutan órdenes.

2 e) Mantenimiento y actualización: en esta fase, se les ordena a los bots a descargar actualizaciones. También muchas veces se les ordena migrar a otros servidores C&C, de esta forma, mantiene indetectable a su red. CAMPOS DEL ARCHIVO ENTREGADO EN EL REPORTE Campo Vulnerabilidad Dirección IP Puert o TIMESTAMP_ECUCE RT AS_name STATUS_ECUCER T timestamp ip port asn geo regio n city hostname type Infectio n url agent cc cc_port cc_asn cc_geo Descripción Hace referencia al nombre de la vulnerabilidad Dirección IP del dispositivo en cuestión Puerto que responde a la vulnerabilidad Tiempo en que la IP fue probada por el ECUCERT Nombre del ASN Estado de la vulnerabilidad Fecha y hora de reporte de Shadowserver en UTC+0 Dirección IP del host involucrado Puerto desde donde se obtiene la respuesta SSL ASN donde se encuentra el host involucrado País donde se encuentra el host involucrado Provincia donde se encuentra el host involucrado Ciudad donde se encuentra el host involucrado DNS reverso del host involucrado Protocolo de capa transporte (udp / tcp) Nombre de la infección si es conocida URL de conexión (si aplica) Agente de conexión HTTP (si aplica) El host de Comando y Control (C&C) que controla esta dirección IP Puerto en el servidor al que la dirección IP se conecta. ASN del host de C&C País del host de C&C

3 cc_dns count proxy DNS reverso del host de C&C Número de conexiones desde esta IP drone o zombie Indica si la conexión usa un sistema proxy conocido application Nombre de la aplicación o protocolo de capa 7 p0f_genre p0f_detail machine_name id Familia de sistema operativo Versión de sistema operativo Nombre de host de la pc comprometida Bot ID 3. FORMACIÓN Y PROPAGACIÓN DE UNA BOTNET Para que una botnet se forme y crezca, debe acumular drones y cada drone puede ser explotado individualmente, infectado, y asimilado dentro de una botnet. Mientras más drones tenga a su disposición el administrador de una botnet ( herder ), mayor impacto podrá causar en internet. Por lo tanto, la recopilación de drones es una tarea fundamental para cualquier herder. Por esta razón, la mayoría de software bot contiene spreaders que automatizan el escaneo de direcciones IP en busca de vulnerabilidades. Una vez encontrados, las máquinas vulnerables son atacas e infectadas con el software bot, y este proceso inicia nuevamente. Con cada drone nuevo, la botnet gana más poder para expandirse infectando a otras máquinas vulnerables. La única diferencia entre un software bot y un gusano convencional es la existencia de un único sistema de Comando y Control (C&C). 4. USOS DE UNA BOTNET La propia naturaleza de una botnet da a los criminales mucho poder en internet. Con el control de tantos drones, los hearders pueden involucrarse en actividades muy perjudiciales a usuarios de internet, cómo: a) Click Fraud

4 Las botnets pueden ser usadas en Click Fraud, donde el software bot puede ser usado para visitar páginas web y automáticamente dar click en anuncios publicitarios. Los herders han estado usando este mecanismo para robar grandes sumas de dinero a empresas de publicidad en internet, que pagan una recomepensa por cada página visitada. Debido a que los clicks provienen de diferentes máquinas alrededor del mundo, aparenta ser tráfico legítimo para un investigador sin experiencia. b) DDoS Las botnets pueden ser usadas para causar mucho daño a otros equipos en internet saturando completamente su ancho de banda u otros recursos. Tales ataques de DDoS (Denegación de Servicio Distribuido) pueden impedir el acceso a una página web en particular por largos períodos de tiempo. Esto supone una enorme carga para las operaciones financieras de muchas empresas que no pueden llegar a sus clientes. También ocurren ataques de extorsión, cuando los atacantes demandan un pago a las organizaciones para poner fin al ataque DDoS y permitir el tráfico normal nuevamente. Los ataques de DDoS son posibles debido a que una botnet otorga recursos de red inimaginables a los criminales. Con la capacidad de establecer muchas conexiones desde miles de máquinas diferentes, su mitigación se hace difícil. Figura No.1 Ataque DDoS mediante Botnet c) Keylogging El keylogging es probablemente la mayor amenaza de una botnet a la privacidad individual. Muchos bots escuchan la actividad del teclado y la reportan lo que la víctima ha escrito de vuelta al atacante (herder). Algunos bots incluyen software que informa al atacante cuando se ha visitado una página que requiere del ingreso

5 de un password. Esto da al Herder la capacidad de obtener acceso a información personal y cuentas bancarias que pertenecen a miles de personas. d) Warez Las botnets pueden ser usadas para robar, almacenar o propagar warez. Warez constituye cualquier software obtenido ilegalmente y/o software pirata. Los bots pueden buscar por software o licencias instaladas en la máquina víctima, y el Herder puede fácilmente transferirlo para su duplicación o distribución ilegal. Por otra parte, los drones se utilizan para almacenar copias de warez encontrados en otras fuentes. Como un todo, una botnet tiene una gran capacidad de almacenamiento. e) Spam Las botnets a menudo se utilizan como mecanismo para propagar spam. Los drones pueden enviar spam o sitios de phishing, además a través de cuentas de mensajería instantánea se pueden enviar enlaces de malware a todos los contactos en la libreta de direcciones de la víctima. Mediante la difusión de spam a través de una botnet, un Herder puede mitigar la amenaza de ser capturado, ya que está usando miles de computadores individuales que hacen el trabajo sucio. 5. REFERENCIAS